[CTF WEB渗透] VulnHub-Ch4inrulz靶机练习

**1.Ch4inrulz-**靶机介绍

弗兰克有一个小网站，他是一个聪明的开发人员，具有正常的安全背景，他总是喜欢遵循模式，您的目标是发现任何关键漏洞并获得对系统的访问权限，然后您需要获得root访问权限才能捕获根标志。

这台机器是为约旦的顶级黑客2018 CTF制作的，我们试图让它模拟现实世界的攻击，以提高您的渗透测试技能。

该机器在vmware（播放器/工作站）上进行了测试并且工作没有任何问题，因此我们建议使用VMware来运行它，使用virtualbox也可以正常工作。

难度：中级，您需要跳出框框思考并收集所有拼图才能完成工作。

Happy Hacking !

地址：ch4inrulz: 1.0.1 ~ VulnHub

**2.**信息收集

1）使用nmap扫描全网段，拿到目标机的IP地址和MAC地址

** 2) **对ip地址进一步扫描，获取端口和服务版本信息

可以看到 有21 端口的ftp服务开启，可以进行cain嗅探，FTP爆破（hydra和MSF），匿名访问。

             22 端口的SSH服务开启，SSH弱口令破解，（而且版本是Open ssh 5.9p1，推测可能存在Open ssh漏洞)

                   80端口的HTTP服务开启，版本是Apache 2.2.22，等下可以搜一下版本漏洞

           输入 192.168.1.221:80 回车

查看源码

（ 也许可以进行WEB渗透？ ）

              8011端口的HTTP开启，自定义端口，好像是一个代理？可进一步探测。

3****） Nmap 使用脚本对目标进行漏洞扫描

因为靶机比较老了，所以很多漏洞已经复现了，扫出来很多

从SSH 中不出所料，可以找到Open ssh 的漏洞

SSV:60656这个漏洞是2010年的，配置服务器拒绝服务，远程攻击者可利用此漏洞耗尽服务器上连接槽，触发dos攻击。

ssv:90447 是利用OpenSSH 客户端的默认配置中被启用使得客户端信息泄漏和缓冲区溢出

SQL注入和DOM型XSS都未发现，利用的可能性不大。

Apache 2.2.22 版本漏洞

Apache 2.2.34 2.4.27 内存泄漏

DAY-ID-22451 堆缓冲区溢出漏洞

CVE-2012-0883 本地权限提升 可提权为ROOT权限

CVE-2017-9798 泄露 Apache 服务器内存

CVE-2013-5704 模块安全限制绕过漏洞 使攻击者绕过安全规则

CVE-2013-6438,CVE-2014-0098

CVE-2013-1896 DOS攻击

*漏洞扫描基本是Open SSH 和 Apache 老版本的漏洞，有一些可以利用，继续信息收集。*

1. Dirsearch dirbuster 御剑 对靶机网页敏感目录扫描

安装 dirsearch apt-get update apt-get install dirsearch

扫描目录

Dirsearch扫描出来的有敏感目录：

/development

                          -401   未授权，认证失败 ，

对于需要登录的网页，服务器可能返回此响应

出来个登陆后台

/roboots.txt robots.txt是专门针对搜索引擎机器人robot编写的一个纯文本，

                 **在文件中被指定的网站，可以不被搜索引擎收录，因此这些重要的网站就不会被访问到。**

**(**进去被嘲讽了，不过robots 文件目的是防止被爬取敏感目录）

/index.html.bak [网站备份文件 .rar、.zip、.7z、.tar、.gz、.bak]

找到一个线索

换个8011端口扫描试试

发现有个api接口，可以进去

**3.**整理初步思路

** 1****）**** 22****端口****  ssh   ****使用****Metasploit****利用扫描出来的****OpenSSH ****漏洞直接拿到****Root ****权限，进而拿到****flag****。**

** 2） 80端口 8011端口 HTTP 根据扫出来的目录与敏感文件密码破解后台进行Web**渗透

** 3） 利用Apache 2.22 多种漏洞渗透（拒绝服务，缓冲区溢出，中间件，提权）** 比较复杂。

**4.**渗透测试

2）从之前的敏感目录文件得到了一个登陆后台，一个账号密码：

                                **frank:$apr1$1oIGDEDK$/aVFPluYt56UvslZMBDoC0**

应该是一个Linux 账户，用户是 frank 密码是通过哈希加盐(Hash+salt)的密文,

开始的$apr1$位为加密标志，后面8位为salt，后面的为hash.

加密算法：2000次循环调用MD5加密

通过Hashcat 破解密码 跑了半天死活跑不出来，不知道是Hashcat 不支持 破解$arp1型还是字典，操作问题。

（Hashcat 支持的破解类型）

没办法，同过John 来破解试试

John 倒是破解出来了，还好密码设置得简单。。。

是一个文件上传的页面，可以把PHP木马上传上去。

nc监听端口1234

得到shell：

获取标准shell：python -c 'import pty; pty.spawn("/bin/bash")'

查看内核：uname -a

/tmp文件夹中可以写文件：

vim /etc/apache2/ports.conf

/etc/init.d/apache2 start

cp /usr/share/exploitdb/exploits/linux/local/40839.c /var/www/html

编译执行：

gcc -pthread 40839.c -o dirty -lcrypt

./dirty

执行结果：

输入新的密码

切换用户：

成功获取到flag：

5.总结

这个靶机是比较老了，是一个技术博客网站，但是进行了很多不安全的设置导致可以进行常规渗透，难度不大，适合新手练手。